セキュリティポリシーとは？記載すべき内容や策定ポイントを解説！

セキュリティポリシーとは

セキュリティポリシーとは、企業などの組織が定めるセキュリティに関する指針のことです。基本的に、セキュリティポリシーを定めた企業では、それに従ってセキュリティに関する行動を決めることになります。

セキュリティポリシーを策定することで、セキュリティに関する判断基準や取るべき対策を明らかにできます。また、社員に周知することでセキュリティ意識を高めることも可能です。

セキュリティポリシーの内容

続いて、セキュリティポリシーに記載する内容を見てみましょう。「基本方針」「対策基準」「実施手順」の３部構成であるのが一般的なため、この３つに分けて解説します。

【基本方針】組織の指針を宣言する

基本方針は、後述する対策基準や実施手順の基本的な考え方を示すものです。なぜセキュリティポリシーが必要なのか、どのような方針で対策を取るのかなど、理念的なことを記載します。また、セキュリティポリシーの適用範囲や対象者、違反時の対応などもここで明示しておきます。

【対策基準】ガイドラインを載せる

対策基準では、部署や業務ごとのガイドラインを載せます。例としてよくあるガイドラインをいくつか見てみましょう。

• ■システム開発ガイドライン
• ■サーバ運用ガイドライン
• ■社内ネットワーク利用ガイドライン
• ■アウトソーシング契約ガイドライン
• ■セキュリティ教育ガイドライン
• ■入退出管理ガイドライン

それぞれのガイドラインで、セキュリティ対策の方法や基準などを明示します。何がどこまで許されるのか明確な基準を設けて記載しましょう。また、対策基準に違反した際の罰則も記しておきます。

【実施手順】具体的な運用方法を載せる

実施手順は、先述した対策基準を具体的にどのような方法で満たすかを示すものです。マニュアルだと考えれば分かりやすいでしょう。たとえば、セキュリティ教育については以下のようなことを載せます。

• ■教育を実施する頻度や回数
• ■対象者
• ■採用する教材や学習形態
• ■教育効果を測定する方法

実施手順が忠実に実行された際、対策基準が自然と満たされる必要があります。業務別に、具体的で実現性の高い手順を定めましょう。

セキュリティポリシー策定のポイント

情報処理推進機構は、セキュリティポリシーの決め方として以下の８ステップを定めています。

1. １．組織・体制の確立
2. ２．基本方針の策定
3. ３．情報資産の洗い出しと分類
4. ４．リスク分析
5. ５．管理策の選定
6. ６．対策基準の策定
7. ７．対策基準の明文化と周知徹底
8. ８．実施手順の策定

実際の策定手順は企業によって異なりますが、初めて策定する場合はこの決め方を参考にすると良いでしょう。では、上記を踏まえて策定時のポイントを解説していきます。

具体的に分かりやすく記載する

セキュリティポリシーは多くの社員が目にすることになります。その社員たちはそれぞれセキュリティについて持っている知識が異なります。したがって、分かりやすさを意識して記載しなければ、内容を理解できない社員も出てきかねません。そして、内容が分からなければ従うことはできず、セキュリティポリシーは形だけのものになります。

そのような事態を防ぐために、セキュリティポリシーは中学生が理解できるくらい分かりやすく記載しましょう。また、文章が分かりやすいだけでなく、すぐに行動に移せるくらい具体的に記すことが大切です。たとえば、パスワードの設定方法を記載する際には以下のように記述します。

• ■10文字以上にすること
• ■数字と英字をそれぞれ最低１つ含めること
• ■同じ文字を３つ以上含まないこと
• ■３か月おきに変更すること

責任者を明確にし体制を整える

セキュリティポリシーの策定は大掛かりな仕事です。したがって、まずは運営組織を立ち上げて体制を整えましょう。

このとき、経営層も運営組織に参加することが大切です。実際にセキュリティポリシーを運用していく際は別の担当者に任せるにしても、策定時には経営層が積極的に関わる必要があります。セキュリティポリシーは企業がどれほどセキュリティリスクに対抗できるかを左右する重要な要素だからです。

ただし、経営者だけで決めるとセキュリティポリシーと現場の状況がかけ離れたものになります。そのため、現場の視点を持ちつつセキュリティ知識に長けた人材を責任者に据えましょう。

もし社内に十分な知見を持つ従業員がいないのなら、コンサルタントなど外部の専門家に協力を仰ぐことも可能です。ただし、その場合でも丸投げはせず、社内の責任者を決めてその人を中心に策定・運用を行いましょう。

策定後はサイクルを実施する

セキュリティポリシーは一度策定して終わりではありません。初めて策定する段階で完全なセキュリティポリシーを作ることは極めて困難だからです。また、IT技術の進歩などに伴って内容を改変する必要に迫られることもあります。

したがって、セキュリティポリシーは継続的に手を加え、より良いものを目指す必要があります。そのためには以下のPDCAサイクルを繰り返し実施しましょう。

Plan

セキュリティポリシーを策定する

Do

対策基準・実施手順に従って業務を遂行する

Check

問題点の有無とその原因を明らかにする

Action

Checkで得た知見を次のPlanにどう活かすか検討する

セキュリティポリシーを策定して社員の意識を高めよう！

セキュリティポリシーは、企業がセキュリティ対策を行う方針や手順を定めたものです。これを周知することで自社のセキュリティレベルを高められます。セキュリティポリシーの内容は以下のとおりです。

• ■基本方針
• ■対策基準
• ■実施手順

また、策定時のポイントは以下のとおりです。

• ■具体的に記載する
• ■体制を整える
• ■PDCAサイクルを回す

以上を踏まえてセキュリティポリシーを策定し、自社の情報を守りましょう。